Группировка киберпреступников Kimsuky из Северной Кореи атакует российских экспертов в области внешней политики для сбора конфиденциальной информации.
Под удар Kimsuky, хакерской группировки из Северной Кореи, попали российские учёные, сотрудники неправительственных организаций и эксперты мировой политики, которые так или иначе связаны с КНДР.
Известно, что хакеры рассылают российским специалистам фишинговые письма от лица экспертов из РФ. К письмам прикреплена ссылка, перейдя по которой, пользователь видит поля для ввода логина и пароля ― нехитрая обманка внешне очень похожа на всплывающие окна Windows для защищенных паролем сетевых ресурсов.
Поскольку на странице использован незащищенный http-протокол, все введенные данные сразу попадают к хакерам.
По словам исполнительного директора Национального комитета по исследованию БРИКС Георгия Толорая, от чьего имени злоумышленники рассылают фишинговые письма, сообщил «Коммерсанту», что хакеры используют его старую подпись. Кроме этого, Толорая отметил, что в последнее время тексты писем, особенно англоязычные, выглядят очень правдоподобно и что многие его коллеги пострадали от атаки хакеров.
В августе этого года разработчики антивирусного ПО Malwarebytes обнаружили вредоносные русскоязычные файлы с названиями «Региональные экономические контакты дальневосточной России с корейскими государствами (2010-е годы)» и «23-е заседание межправительственной Российско-монгольской комиссии по торгово-экономической, научно-технической эксплуатации». В Malwarebytes посчитали, что эти файлы имеют отношение к северокорейской хакерской группировке APT37, которая, предположительно, связана с правительством КНДР.
В Group-IB отмечают, что КНДР проводит киберпреступные операции не только против Южной Кореи, но еще и стран, которые поддерживают ее, в течение последних трех лет.
Напомним, в прошлом году северокорейские хакеры атаковали российские военные и промышленные организации.
Руководитель группы исследования сложных угроз Threat Intelligence Group-IB Анастасия Тихонова предполагает, что в Kimsuky заинтересованы в документах отдельных чиновников и сотрудников научно-исследовательских центров.
Также специалисты по безопасности предупреждают, что хакеры способны включать зараженные устройства в ботсеть и красть доступ к криптокошелькам.
Глава азиатской программы Московского центра Карнеги Александр Габуев, оказавшийся в числе жертв киберпреступников, рассказал, что Россия играет важную роль в дипломатических движениях, связанных с США и Северной Кореей.
«Разумеется, для северокорейской разведки важно иметь источники, чтобы понимать, как в Москве видят имеющие отношение к КНДР сюжеты. Они могут предполагать, что кто-то из экспертов общается с чиновниками, обсуждает эту тему в закрытых рассылках и так далее», ― отметил Габуев.
